Bom dia, então queria saber se para configurar os webhooks preciso ja ter o mTLS configurado ou posso dar um PUT na rota de configuração tranquilamente?
Termos mais procurados:
Histórico de mensagens sobre mtls em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Endpoint para Recuperar Saldo
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Problemas com Token em Ambiente de Homologação
- Utilização de Endpoints e Payload no Pix
- Implementação da SDK do Pix em Next.js ou React
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Recebimento de Pagamentos via QR Code e Arduino
- Cobrança em Período de Teste Grátis de 7 dias
- Cancelamento de Boleto e Remoção do DDA
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Atualização de informações no Retentiva de Cobrança
- Autenticação com Certificado em NextJS
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Alternativas para Detalhar QR Code Pix
- Retenção de Pagamento no PIX em Marketplace
- Geração de payment_token pelo Postman e teste em homologação
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Integração da API do Pix em Sistema Próprio
- Especificação da URL do Webhook no Exemplo Pix
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Canal: pix
desculpa mas fiquei meio sem entender, se eu nao mandar x-skip-mtls-checking: 1, o que muda para mim? o mTLS nao seria eu que teria que verificar no meu nginx ou apache?
Não necessariamente, <@!664563985885954079>.
Conforme publicamos ontem, você adicionando o parâmetro x-skip-mtls-checking no header no endpoint PUT /v2/webhook/:chave, você irá registrar seu webhook à sua chave sem validação de mTLS durante o consumo.
Ou seja:
Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;
Salientamos que a Gerencianet continuará a fornecer a comunicação com mTLS, ou seja, na comunicação da notificação nada mudou. O POST entre Gerencianet e EC continua enviando o certificado.
<@!798679248633856000> Não. O certificado p12/pem é para a autenticação do consumo da API.
Já para a configuração do mTLS, você irá utilizar o CA com a chave pública da Gerencianet, sendo uma para cada ambiente, segue link das chaves públicas:
Desenvolvimento: https://pix.gerencianet.com.br/webhooks/chain-pix-sandbox.crt
Produção: https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt
Isso renato, então eu preciso de outro certificado para o mTLS, eu gero ele ou a GN me fornece?
Rubens, são certificados diferentes. O que consome a API é individual por cliente e ambiente (dev/produção). O que usamos pra validar o mTLS nos callbacks é diferente (separados apenas por ambiente dev/produção, sendo os mesmos dois para todos os clientes).
então se eu fizer a verificação do mTLS no nginx por exemplo, o certificado que vou usar é o mesmo p12/pem do auth?
Guia de configuração de TLS (mas que não tem mTLS):
https://english.ncsc.nl/binaries/ncsc-en/documents/publications/2021/january/19/it-security-guidelines-for-transport-layer-security-2.1/IT+Security+Guidelines+for+Transport+Layer+Security+v2.1.pdf
seja como for... se alguém preferir / precisar... Amazon tá aí, mtls-proxy do pix.ae também 😁
Notar que a Gerencianet não diz que o mTLS não é necessário, e sim que o integrador pode ter outras formas de implementá-lo em camada de aplicação e aí garantir o mesmo nível de segurança. Então quem não estiver validando se o cliente é mesmo a Gerencianet, está em violação da documentação do Pix.
mas "não seguir" mTLS seria não enviar o certificado. se é o EC que valida, qual a responsabilidade do PSP? qual o critério pra saber que o EC não tá validando?
E não seguir o mTLS é uma violação bem evidente na postura de segurança, mesmo não sendo a única.
<@!780500321994539068> o manual de segurança diz que o callback deve ser enviado por canal mTLS. mas como o PSP pode garantir que o canal é mTLS? não existe isso. ele envia com certificado e o cliente verifica se ele quiser. não tem como a GN saber se o cliente tá validando.
não é bem assim. na verdade, a conexão mTLS não tem como ser validada dos dois lados. quem envia o request manda o certificado e o recebedor é responsável por validar, mas não tem como o emissor impedir que o outro lado "consuma" o request sem validar o certificado enviado. então a norma do BACEN, na prática, obriga o PSP a enviar o certificado e dar meios pro cliente verificar (e rejeitar o request se quiser). mas o EC pode simplesmente ignorar a verificação. o que o novo parâmetro faz é desligar a verificação que a GN faz (por iniciativa dela, não por obrigação) enviando um request sem certificado primeiro para testar se o EC valida. então se vc usa esse parâmetro, você poderá receber callbacks depois, que virão com o certificado, e recebe os dados normalmente mesmo que não valide o certificado (ou seja, sem "fechar mTLS").